¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Kolab.hbg.1
Descubierto:15/03/2010
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:298.496 Bytes
Suma de control MD5:48b2248688a341e91afd3c7feae72f30
Versin del IVDF:7.10.05.88 - lunes 15 de marzo de 2010

 General Mtodos de propagacin:
   • Red local
    Messenger


Alias:
   •  Panda: W32/Kolabc.BR.worm
   •  Eset: Win32/TrojanDropper.Agent.OPQ
   •  Bitdefender: Backdoor.SDBot.DGFD


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\logon.exe
   • %WINDIR%\mxmxxl.exe
   • %SYSDIR%\winIogon.exe
   • %SYSDIR%\sy.exe
   • %HOME%\SyncMan.exe
   • %SYSDIR%\winamp.exe
   • %SYSDIR%\SyncMan.exe



Elimina la copia inicial del virus.



Elimina los siguientes ficheros:
   • %SYSDIR%\afcu.bat
   • %SYSDIR%\oucoqifh.bat
   • %SYSDIR%\qcjk.bat
   • %WINDIR%\nfybcnxk.bat
   • %SYSDIR%\drivers\cdrom.sys
   • %SYSDIR%\wlxt.bat
   • %WINDIR%\cudwae.bat
   • %directorio donde se ejecuta el programa viral%\djxcapsy.bat
   • %SYSDIR%\yufud.bat



Crea los siguientes ficheros:

%WINDIR%\logfile32.txt
%HOME%\oashdihasidhasuidhiasdhiashdiuasdhasd
%SYSDIR%\ftzzihwk.bat
%SYSDIR%\nvqwmp.bat
%SYSDIR%\wkdtequu.bat
%SYSDIR%\yufud.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%SYSDIR%\dllcache\cdrom.sys Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Rootkit.Gen

%SYSDIR%\rdwoc.bat
%SYSDIR%\wlxt.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%SYSDIR%\oucoqifh.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%SYSDIR%\itcngkpm.bat
%directorio donde se ejecuta el programa viral%\djxcapsy.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%SYSDIR%\qcjk.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\nfybcnxk.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%SYSDIR%\afcu.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\cudwae.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\diqs.bat
%SYSDIR%\ermtc.bat



Intenta descargar un fichero:

La direccin es la siguiente:
   • http://pey.somebar.ru/**********




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\SyncMan.exe


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\qcjk.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\wlxt.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\itcngkpm.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%WINDIR%\cudwae.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\ftzzihwk.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\rdwoc.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\ermtc.bat" "


Ejecuta uno de los ficheros siguientes:
   • svchost.exe


Ejecuta uno de los ficheros siguientes:
   • cmd.exe


Ejecuta uno de los ficheros siguientes:
   • sy.exe


Ejecuta uno de los ficheros siguientes:
   • "%WINDIR%\mxmxxl.exe"


Ejecuta uno de los ficheros siguientes:
   • SyncMan.exe


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%directorio donde se ejecuta el programa viral%\djxcapsy.bat" "


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\winamp.exe


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\oucoqifh.bat" "


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\yufud.bat" "


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\svchost.exe


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%WINDIR%\nfybcnxk.bat" "


Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\logon.exe


Ejecuta uno de los ficheros siguientes:
   • cmd /c ""%SYSDIR%\afcu.bat" "

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "SyncMan"="%HOME%\SyncMan.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Driver Setup"="%WINDIR%\mxmxxl.exe"
   • "SyncMan"="%SYSDIR%\SyncMan.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "Microsoft Driver Setup"="%WINDIR%\mxmxxl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Windows DLL Loader



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\SyncMan.exe"="%SYSDIR%\SyncMan.exe:*:Enabled:Windows DLL
      Loader"



Aade la siguiente clave al registro:

[HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   • "MaxUserPort"=dword:0x0000fffe

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 MSN Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS03-039 (Buffer Overrun in RPCSS Service)
– MS04-007 (ASN.1 Vulnerability)
 MS04-045 (Vulnerabilidad en WINS)
 MS06-040 (Vulnerability in Server Service)


Creacin de direcciones IP:
Crea direcciones IP aleatorias y guarda el primer octeto de su propia direccin. Luego intenta establecer una conexin con las direcciones generadas.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: but.som**********.ru
Puerto: 7575
Apodo: [N00_USA_XP_%nmero%]

Servidor: say.lon**********.in
Puerto: 4676
Apodo: d[]b

 Finalizacin de los procesos Listado de los procesos finalizados:
   • VIPRE.EXE; ISSDM_EN_32.EXE; P08PROMO.EXE; K7TS_SETUP.EXE;
      AVINSTALL.EXE; WITSETUP.EXE; TrendMicro_TISPro_16.1_1063_x32.EXE;
      VBA32-PERSONAL-LATEST-ENGLISH.EXE; CCSETUP210.EXE; FSMB32.EXE;
      FSGK32.EXE; FSAV95.EXE; FSAV530WTBYB.EXE; FSAV530STBYB.EXE;
      FSAV32.EXE; FSAV.EXE; FSAA.EXE; FPROT.EXE; FP-WIN.EXE; FNRB32.EXE;
      FIH32.EXE; FCH32.EXE; FAST.EXE; FAMEH32.EXE; F-STOPW.EXE;
      F-PROT95.EXE; F-PROT.EXE; AFMAIN.EXE; SPIDERUI.EXE; SPIDERNT.EXE;
      ALERTMAN.EXE; RAVMOND.EXE; MAKEREPORT.EXE; BOXMOD.EXE; 360SAFE.EXE;
      360RPT.EXE; 360HOTFIX.EXE; 360TRAY.EXE; NSVMON.NPC; NSAVSVC.NPC;
      NPCGREENAGENT.NPC; PUSCAN.EXE; AYSERVICENT.AYE; AYAGENT.AYE;
      CMDAGENT.EXE; CPF.EXE; VSMON.EXE; ZLCLIENT.EXE; NSUTILITY.EXE;
      NSPUPDT.EXE; NAVQSCAN.EXE; NSPMAIN.EXE; NSPUPSVC.EXE; NSPSVC.EXE;
      MKSADMINCONSOLE.EXE; MKSUPDATE.EXE; MKSPC.EXE; MKSFWALL.EXE;
      MKSVIRMONSVC.EXE; MKS_SCAN.EXE; MKS_MAIL.EXE; MKSREGMON.EXE;
      KAVPFW.EXE; KASMAIN.EXE; KAV32.EXE; KPFWSVC.EXE; KISSVC.EXE;
      KWATCH.EXE; KPFW32.EXE; KAVSTART.EXE; KVSRVXP.EXE; KVOL.EXE; KVXP.KXP;
      KVMONXP.KXP; CAVASM.EXE; CMAIN.EXE; ARCABIT.CORE.LOGGINGSERVICE.EXE;
      ARCABIT.CORE.CONFIGURATOR2.EXE; TASKSCHEDULER.EXE; UPDATE.EXE;
      NETMONSV.EXE; FILEMONSV.EXE; ABREGMON.EXE.EXE; ARCACHECK.EXE;
      ARCAVIR.EXE; AVMENU.EXE; A2HIJACKFREE.EXE; A2SERVICE.EXE; A2START.EXE;
      A2SCAN.EXE; A2GUARD.EXE; VRFWSVC.EXE; HFACSVC.EXE; VRMONSVC.EXE;
      HPCSVC.EXE; HSVCMOD.EXE; VRMONNT.EXE; MKSTRAY.EXE; VBA32ADS.EXE;
      VBA32LDR.EXE; FILELOCKSETUP.EXE; TSCFCOMMANDER.EXE; TMPROXY.EXE;
      TMPFW.EXE; TMBMSRV.EXE; UFNAVI.EXE; UFSEAGNT.EXE; TISSPWIZ.EXE;
      SFCTLCOM.EXE; TNBUTIL.EXE; DEFWATCH.EXE; RTVSCAN.EXE; SBAMSVC.EXE;
      SBAMUI.EXE; SBAMTRAY.EXE; SAVADMINSERVICE.EXE; SAVSERVICE.EXE;
      SCFSERVICE.EXE; SCFMANAGER.EXE; RAVTASK.EXE; CCENTER.EXE; ULIBCFG.EXE;
      RAVLITE.EXE; PCTAV.EXEPCTAVSVC.EXEPXCONSOLE.EXEPXAGENT.EXERAV.EXE;
      PCTSAUXS.EXE; PCTSTRAY.EXE; PCTSSVC.EXE; PCTSGUI.EXE; AVGAS.EXE;
      PAVBCKPT.EXE; WEBPROXY.EXE; PAVSRV51.EXESRVLOAD.EXE; PSIMSVC.EXE;
      PSHOST.EXE; AVENGINE.EXE; PSKMSSVC.EXE; PAVPRSRV.EXE; PAVFNSVR.EXE;
      PSCTRLS.EXE; TPSRV.EXE; NOD32M2.EXE; NOD32CC.EXE; NOD32.EXE;
      NMAIN.EXE; NOD32KUI.EXE; MSASCUI.EXE; MSMPENG.EXE; MCUPDATE.EXE;
      MCSHIELD.EXE; MCVSSHLD.EXE; MCVSRTE.EXE; MCAGENT.EXE; KAVSVC.EXE;
      KAV.EXE; K7TSMNGR.EXE; K7SPMSRC.EXE; K7RTSCAN.EXE; K7PSSRVC.EXE;
      K7FWSRVC.EXE; K7EMLPXY.EXE; K7TSECURITY.EXE; K7SYSTRY.EXE;
      VIRUSUTILITIES.EXE; GUARDXSERVICE.EXE; GUARDXKICKOFF.EXE; AVKWCTL.EXE;
      AVKTUNERSERVICE.EXE; AVKSERVICE.EXE; GDFWSVC.EXE; AVKPROXY.EXE;
      GDFIRE~1.EXE; AVKTRAY.EXE; GDFIREWALLTRAY.EXE; FSAUA.EXE;
      NOD32KRN.EXE; FSMA32.EXE; FSDFWD.EXE; FSGK32ST.EXE; FSM32.EXE;
      FPWIN.EXE; FPAVSERVER.EXE; FPROTTRAY.EXE; INICIO.EXE; UMXPOL.EXE;
      UMXFWHLP.EXE; UMXAGENT.EXE; UMXCFG.EXE; PPCLTPRIV.EXE; SVCPRS32.EXE;
      ITMRTSVC.EXE; CCPROVSP.EXE; MDMCLS32.EXE; CAGLOBALLIGHT.EXE;
      CAPFUPGRADE.EXE; CAPFASEM.EXE; CAFW.EXE; CFGMNG32.EXE; CCTRAY.EXE;
      CLAMTRAY.EXE; CLAMWIN.EXE; ALSVC.EXE; ALMON.EXE; DRWEBSCD.EXE;
      SPIDERML.EXE; DRWEB32W.EXE; ACS.EXE; STRTSVC.EXE; OP_MON.EXE;
      SENSOR.EXE; QHFW332.EXE; CATEYE.EXE; ONLNSVC.EXE; EMLPROUI.EXE;
      UPSCHD.EXE; SCANMSG.EXE; SCANWSCS.EXE; EMLPROXY.EXE; ONLINENT.EXE;
      ASWCLNR.EXE; BDAGENT.EXE; VSSERV.EXE; LIVESRV.EXE; XCOMMSVR.EXE;
      UISCAN.EXE; BDSS.EXE; AVGUI.EXE; AVGUPD.EXE; AVGSCANX.EXE; AVGEMC.EXE;
      AVGUPSVC.EXE; AVGAMSVR.EXE; AVGWDSVC.EXE; ASHWEBSV.EXE; ASHMAISV.EXE;
      ASWUPDSV.EXE; ASHSERV.EXE; ASHDISP.EXE; AVCENTER.EXE; SCHED.EXE;
      AVIRARKD.EXE; AVGNT.EXE; AVGUARD.EXE; AHNSDSV.EXE; ACAIS.EXE;
      ACALS.EXE; ACAEGMGR.EXE; ACAAS.EXE; QOELOADER.EXE; APVXDWIN.EXE;
      QUHLPSVC.EXE; 123.EXE; RAVP.EXEMBAM.EXE123.COM; UNLOCKER1.8.7.EXE;
      UNIEXTRACT.EXE; SYSANALYZER_SETUP.EXE; STARTDRECK.EXE; SPF.EXE;
      REGX2.EXE; REGSHOT.EXE; REGSCANNER.EXE; REGISTRAR_LITE.EXE;
      REGCOOL.EXE; REGALYZ.EXE; PROJECTWHOISINSTALLER.EXE; PROCMON.EXE;
      CUREIT.EXE; FIXBAGLE.EXE; PGSETUP.EXE; OBJMONSETUP.EXE; NETALYZ.EXE;
      KILLBOX.EXE; INSTALLWATCHPRO25.EXE; AVENGER.EXE; IEFIX.EXE;
      HOSTSFILEREADER.EXE; FIXPATH.EXE; FILEFIND.EXE; FILEALYZ.EXE;
      EULALYZERSETUP.EXE; A2HIJACKFREESETUP.EXE; DLLCOMPARE.EXE;
      CPROCESS.EXE; CPORTS.EXE; ASVIEWER.EXE; APT.EXE; APM.EXE;
      SPYBOTSD.EXE; TEATIMER.EXE; SPYBOTSD160.EXE; PROCESSMONITOR.EXE;
      PROCDUMP.EXE; PG2.EXE; LORDPE.EXE; ICESWORD.EXE; REANIMATOR.EXE;
      ROOTKITNO.EXE; RKD.EXE; HACKMON.EXE; UNHACKME.EXE;
      ROOTKIT_DETECTIVE.EXE; AVGARKT.EXE; FSB.EXE; FSBL.EXE;
      ROOTKITREVEALER.EXE; PSKILL.EXE; TASKMON.EXE; TASKLIST.EXE;
      TASKMAN.EXE; PROCEXP.EXE; MSNFIX.EXE; HIJACKTHIS_V2.EXE;
      HIJACKTHIS.EXE; HIJACKTHIS_SFX.EXE; HJTSETUP.EXE; HJTINSTALL.EXE;
      OLLYDBG.EXE; NETSTAT.EXE; PORTMONITOR.EXE; PORTDETECTIVE.EXE;
      FPORT.EXE; APORTS.EXE; PAVARK.EXE; DARKSPY105.EXE; HELIOS.EXE;
      ROOTKITBUSTER.EXE; ROOTALYZER.EXE; BC5CA6A.EXE; SEEM.EXE;
      DELAYDELFILE.EXE; DUBATOOL_AV_KILLER.EXE; SUPERKILLER.EXE;
      KAKASETUPV6.EXE; BUSCAREG.EXE; MSNCLEANER.EXE; SRESTORE.EXE;
      BOOTSAFE.EXE; SUPERANTISPYWARE.EXE; CCLEANER.EXE;
      REGUNLOCKER.EXETSNTEVAL.EXEXP_TASKMGRENAB.EXE; CF9409.EXE; GMER.EXE;
      CATCHME.EXE; SDFIX.EXE; COMBOFIX.EXE; SRENGPS.EXE; AUTORUNS.EXE;
      TASKKILL.EXE; REGEDIT.EXE; REG.EXE; MYPHOTOKILLER.EXE;
      KILLAUTOPLUS.EXE; FOLDERCURE.EXE; REGEDIT.SCR; REGEDIT.COM; MMC.EXE;
      TCPVIEW.EXE; LISTO.EXE; GUARD.EXE; NTVDM.EXE; COMMAND.COM;
      COMBOFIX.COM; COMBOFIX.SCR; COMBOFIX.BAT; REGMON.EXE;
      OTMOVEIT.EXEMBAM-SETUP.EXE; JAJA.EXE; AVZ.EXE; MBAM.EXE;
      MBAM-SETUP.EXE; PENCLEAN.EXE; ELISTA.EXE; HJ.EXE;
      WINDOWS-KB890930-V2.2.EXE; MRTSTUB.EXE; MRT.EXE; HIJACK-THIS.EXE;
      VIRUS.EXE; SAFEBOOTKEYREPAIR.EXEOTMOVEIT3.EXEHOSTSXPERT.EXEDAFT.EXE;
      ATF-CLEANER.EXE; COMPAQ_PROPIETARIO.EXE; SRENGLDR.EXE; HOOKANLZ.EXE


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 26 de mayo de 2010
Descripción actualizada por Petre Galan el miércoles 26 de mayo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.